红帽全球峰会15.4. 配置内部客户端以信任集群 CA
此流程描述了如何配置位于 OpenShift 集群中的 Kafka 客户端 - 连接到 TLS 侦听器 - 以信任集群 CA 证书。
为内部客户端实现此操作的最简单方法是使用卷挂载来访问 包含所需 证书和密钥的 Secret。
按照以下步骤配置由基于 Java 的 Kafka Producer、Consumer 和 Streams API 的集群 CA 签名的信任证书。
根据集群 CA 的证书格式,选择遵循的步骤:PKCS #12 (.p12) 或 PEM (.crt)。
这些步骤描述了如何挂载 Cluster Secret,该 Secret 验证 Kafka 集群的身份到客户端 pod。
先决条件
- Cluster Operator 必须正在运行。
-
OpenShift 集群中需要有一个
Kafka资源。 - 您需要使用 TLS 连接的 OpenShift 集群内的 Kafka 客户端应用程序,并需要信任集群 CA 证书。
-
客户端应用程序必须与
Kafka资源在同一命名空间中运行。
使用 PKCS #12 格式 (.p12)
在定义客户端 pod 时,将集群 Secret 挂载为卷。
例如:
kind: Pod apiVersion: v1 metadata: name: client-pod spec: containers: - name: client-name image: client-name volumeMounts: - name: secret-volume mountPath: /data/p12 env: - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: my-secret key: my-password volumes: - name: secret-volume secret: secretName: my-cluster-cluster-ca-cert在这里挂载以下内容:
- PKCS #12 会进入一个准确的路径中,这可以进行配置
- 密码到环境变量中,可用于 Java 配置
使用以下属性配置 Kafka 客户端:
安全协议选项:
-
security.protocol:使用 TLS 加密时 SSL(使用 mTLS 身份验证)。 -
security.protocol :在通过 TLS 使用 SCRAM-SHA 身份验证时 SASL_SSL。
-
-
ssl.truststore.location,使用导入证书的 truststore 位置。 -
ssl.truststore.password,使用用于访问信任存储的密码。 -
ssl.truststore.type=PKCS12来识别信任存储类型。
使用 PEM 格式(.crt)
在定义客户端 pod 时,将集群 Secret 挂载为卷。
例如:
kind: Pod apiVersion: v1 metadata: name: client-pod spec: containers: - name: client-name image: client-name volumeMounts: - name: secret-volume mountPath: /data/crt volumes: - name: secret-volume secret: secretName: my-cluster-cluster-ca-cert- 使用提取的证书在使用 X.509 格式的证书的客户端中配置 TLS 连接。
